Как установить и настроить pfSense на ПК

Некоторые могут сказать, что это даже не прокси-сервер, однако, по мнению многих специалистов, имевших опыт работы с платформой, – это кое-что более значительное. И они будут правы, ведь pfSense фактически представляет собой не что иное, как дистрибутив на базе «FreeBSD», у которого открыт исходный код. При этом он может успешно выполнять функции брандмауэра и распределять трафик клиентам.

К неоспоримому преимуществу следует еще отнести и интуитивно понятный веб-конфигуратор, невероятную гибкость настроек и содержание большого количества функций, которые значительно увеличивают применимость платформы без риска появления слабых мест в защите системы. И это без наращивания ее объема.
«Pfsense»

Основные преимущества и функции

Не редки ситуации, когда финансов хватает лишь на оборудование и комплектующие, а систему требуется в кратчайшие сроки обеспечить высокой функциональностью и без дополнительных вложений в программное обеспечение.

В качестве оптимального решения для выхода из подобной ситуации уже привычно выступает «Pfsense». Этот сетевой экран на основе «FreeBSD» абсолютно бесплатен и прост в эксплуатации.

Так как каждый желающий ознакомиться с полным перечнем выдающихся способностей этого ПО всегда может посетить источник его разработчика по адресу «www.pfsense.org», то здесь перечислим только основные его функции:

  1. Обеспечение безопасности (фаерволл);
  2. Простой веб-конфигуратор, доступный для работы посредством браузера;
  3. Мастер установки;
  4. Функция маршрутизации данных через вайфай;
  5. NAT (трансляция адресов);
  6. Удобная корректировка файлов через веб-конфигуратор;
  7. Регулировка трафика между группами в одной локальной сети;
  8. Создание резервных копий для восстановления конфигурации из меню настроек;
  9. Указание отдельной полосы для конкретного вида трафика;
  10. Прокси-сервер;
  11. VPN — PPTP, OpenVPN, IPsec;
  12. PPPoE-сервер;
  13. Динамический DNS;
  14. Наглядное изображение нагрузок;
  15. Возможность настройки через командную строку и многое другое.

Процедура установки

К достоинствам платформы можно отнести и низкую требовательность к аппаратным составляющим. Успешная установка и дальнейшая работа «pfSense» возможна даже на маломощном ПК, самостоятельно собранном из залежалых на складе комплектующих.

В нижеприведенном примере задействован одноядерный компьютер с ОЗУ объемом лишь 512 Mb и винчестером на 80 Gb. На ПК установили, дополнительно к встроенной, еще одну сетевую карту, в результате их стало две.

Предварительные мероприятия

Чтобы сделать возможной инсталляцию платформы, сначала следует исполнить следующие действия:

  1. Посетив «www.pfsense.org», загрузить ПО;«www.pfsense.org»
  2. Далее кликнуть «Установить»;«Установить»
  3. Затем указать параметры ПК, платформу и консоль;Указать параметры ПК
  4. Сохранив архив с ПО в памяти компьютера, извлечь из него образ;
  5. После этого рекомендуется записать его на USB-носитель (будет достаточно флешки даже объемом 1 Gb) с применением утилиты «RosaImageWriter»;
  6. Установить носитель в USB-порт ПК;
  7. Запустить компьютер с флешки;Запустить компьютер
  8. Подготовительные мероприятия успешно выполнены, теперь можно приступить к установке.

Этап 1

Первая стадия инсталляции состоит из последовательных шагов:

  1. После отображения приветственного меню сразу щелкнуть «Ввод»;«Ввод»
  2. Далее клацнуть по «I» (причем как можно быстрее, т. к. время на исполнение дается не более 10 секунд);Далее «I»
  3. Выделить пункт «Accept these Settings»;«Accept these Settings»
  4. Клацнуть «Ввод»;
  5. Отметить строку «Quick/Easy Install»;«Quick/Easy Install»
  6. Вновь кликнуть «Enter»;
  7. Щелкнуть «Ok» (здесь следует учесть, что программа установится и при этом удалит все файлы на винчестере. \*Если на нем было сохранено что-то важное, то до нажатия «Ок» еще не поздно все скопировать на другой носитель);*\Щелкнуть «Ok»
  8. Затем выбрать «Standard Kernel»;«Standard Kernel»
  9. На этом первая стадия заканчивается, и отобразится последнее указание этапа, что надо перезапустить ПК. Для этого просто щелкнуть «Ввод» (внимание: когда компьютер будет в отключенном состоянии, необходимо убрать из USB-порта внешний носитель с программой);

«Ввод»

Этап 2

Когда ПК перезапустится, следует исполнить по порядку следующие шаги:

  1. В отобразившемся меню с вопросом о настройке «VLAN» кликнуть «n»;Кликнуть «n»
  2. Затем нажать «Ввод»;
  3. Чтобы указать программе назначение сетевых карт (одну использовать в качестве «WAN», а другую – «LAN»), требуется знать, какой идентификатор присвоен каждой из них. Понадобится отключить от них провода и кликнуть «Ввод»;«Ввод»
  4. Далее программа потребует установить кабель «WAN» (при этом должен засветиться диод в разъеме). Если отобразится оповещение «ste0: link state changed to UP», то это означает, что идентификатор Интернет-порта «ste0». Клацнуть «Ввод»;
  5. После этого аналогичную процедуру выполнить с LAN;
  6. ПО произведет анализ и покажет сведения. Здесь следует согласиться и кликнуть «Ввод»;
  7. На мониторе появится меню с информацией о назначениях сетевых карт, DHCP и адресах;Меню с информацией
  8. Щелкнуть «Ввод».

Заключительный этап

Последняя ступень сводится к таким настройкам:

  1. В последнем появившемся меню кликнуть «2»;Кликнуть «2»
  2. Клацнуть на «Enter»;
  3. Указать «LAN», с этой целью нажать «2»;Указать «LAN»
  4. «Ввод»;
  5. Задать «ай-пи». Затем вновь щелкнуть «Enter»; «Enter»
  6. Указать маску;«Ввод»
  7. «Ввод»;
  8. Далее требуется выполнить настройки шлюза, который будет использоваться для интернет-порта;Настройки шлюза
  9. В случае когда IPv6 не требуется, то можно сразу кликнуть «Ввод»;«Ввод»
  10. В следующем экране активировать DHCP, нажав «Y»;Активировать DHCP
  11. «Enter»;
  12. Указать диапазон адресов;Диапазон адресов
  13. Снова нажать «Ввод»;
  14. В следующем меню кликнуть «n»;Кликнуть «n»
  15. «Ввод»;
  16. Ура! Отобразился адрес веб-интерфейса;Адрес веб-интерфейса
  17. «Enter»;
  18. Перезапустить компьютер;
  19. Щелкнуть 5 и «Ввод»;
  20. Нажать кнопку «Y» и потом снова «Enter»;
  21. Готово.

Как настроить?

После успешной инсталляции следует не менее важная стадия настройки платформы pfSense. Потребуется исполнить следующие действия:

  1. Запустить веб-обозреватель и пройти по адресу, заданному при инсталляции (в нашем примере «192.168.2.3»);
  2. Код доступа и имя для авторизации: «pfsense» и «admin»;
  3. Сразу отобразится мастер для помощи ввода параметров, рекомендуется его не использовать, а кликнуть на «pfSense»;
  4. После этого отобразится веб-конфигуратор;Веб-конфигуратор
  5. Открыть закладку «Status»;Закладка «Status»
  6. Далее перейти в раздел «Interfaces»;
  7. Затем пересесть за один из ПК в локальной сети и сделать попытку пингования pfSense по «192.168.0.50». По некоторым причинам это будет безуспешно, хотя пока еще даже не установлено ни одного запрещающего правила;
  8. Запустить на этом локальном ПК командную строку и задать бесконечный пинг, например, «ping 192.168.0.50 –t». Будут отображаться оповещения: «Превышен интервал ожидания для запроса»;
  9. Потом расположить монитор этого ПК так, чтобы было его видно, и перейти к клиенту;
  10. Проследовать в раздел «System»;
  11. Затем – во вкладку «Advanced»;
  12. Открыть «Firewall/NAT»;
  13. Установить отметку в графе «Disable Firewall» на пункт «Disable all packet filtering»;
  14. Кликнуть «Save»;
  15. Обратить внимание на запущенный пинг и убедиться, что он пошел. Это фаерволл не позволял пинговаться. Если установить обратно отметку в вышеуказанном 13-ом пункте инструкции и щелкнуть «Сохранить», то пинги должны исчезнуть;
  16. Перейти на вкладку «Status»;
  17. Перейти в «System Logs»;
  18. Далее – в раздел «Firewall»;Раздел «Firewall»
  19. Отобразится меню с заблокированными пакетами;
  20. Кликнуть на крестик в графе того из них, который соответствует нашему;Кликнуть на крестик
  21. Отобразится информация, из которой становится понятна причина проблемы;
  22. Поискав в интернете пути устранения возникшей сложности по запросу «Block private networks from WAN block 192.168/16», можно быстро выяснить пути выхода из сложившейся ситуации;
  23. Переместиться в закладку «Interfaces»;
  24. Войти в «WAN»;
  25. Далее в «Private networks» убрать отметку с графы «Block private networks»;
  26. Кликнуть «Save»;
  27. Щелкнуть на «Apply changes»;
  28. Если пинг не идет, то вновь войти в раздел «Status»;
  29. Затем – в закладку «System Logs»;
  30. В «Firewall» кликнуть по крестику у появившегося нового пакета;«Firewall»
  31. Щелкнуть «Ok» и в разделе «Firewall» открыть вкладку «Rules»;
  32. Далее, перейдя в «WAN», клацнуть на иконку в виде «+» и указать исключение из правил для ICMP-пакетов;
  33. Подтвердить твердость своих намерений. Теперь пинг пойдет без проблем;
  34. Далее рекомендуется это новое правило подкорректировать, чтобы оно стало более универсальным. Кликнуть «e»;Кликнуть «e»
  35. Установить в графах «Sourse» и «ICMP type» значение «any»;
  36. В «Destination» выставить «WAN address»;
  37. Щелкнуть «Сохранить» и затем «Применить изменения».

Настройка времени

Обычно программа некорректно отображает часы и минуты. В случае если здесь все нормально и время везде правильное, то можно просто пропустить этот раздел и сразу перейти к выполнению следующего.

Необходимо произвести шаги:

  1. Открыть «System»;
  2. Перейти в раздел «General Setup»;
  3. Установить «Hostname»;
  4. Прописать свой «Domain»;
  5. Определить соответствующую временную зону в разделе «Time zone»;
  6. Клацнуть «Сохранить»;
  7. Готово. Чтобы удостовериться в точности указываемого времени, можно на вкладке «Status» открыть «Dashboard», где в графе «Current date/time» отображается дата и время.

Пример настройки для L2TP

Если провайдер поддерживает этот тип протокола, то необходимо выполнить следующие действия:

  1. Запустить веб-конфигуратор и открыть вкладку «VPN»;
  2. Перейти в раздел «L2TP» и активировать его, установив «Enable L2TP server»;
  3. Затем в «Server Address» прописать 192.168.33.252 (может отличаться);
  4. Указать «Remote Address Range»;
  5. Далее для «Subnet Mask» установить «24»;
  6. Затем определить максимальное число пользователей, способных соединиться с pfSense в разделе «Number of L2TP Users», например, ввести значение «5»;
  7. Установить «CHAP» во вкладке «Authentication Type»;
  8. Клацнуть «Сохранить».

Конфигурируем прокси в «пфСенсе»

Чтобы пользователей обеспечить доступом в глобальную сеть, используя proxy-сервер, и контролировать их трафик, потребуется исполнить следующие шаги:

  1. Войти в закладку «System»;
  2. Затем – в «Packages»;
  3. В разделе «Available Packages» установить пакеты «Squid», а также с целью обеспечения возможности контроля за объемом скачиваемого трафика пользователями – «Lightsquid»;«Available Packages»
  4. Войти в «Services»;
  5. Далее открыть вкладку «Proxy server»;
  6. Указать «LAN» и установить отметку в графу «Allow users on interface»;
  7. Затем – галочки в пункте «Transparent proxy» и «Enable logging»;
  8. Рекомендуется не изменять директорию сохранения данных статистики «Log store directory»;
  9. В «Log rotate» прописать значение «62»;
  10. Щелкнуть «Сохранить».

«Сохранить»

Создание сервера OpenVPN

С этой целью потребуется настроить CA:

  1. Снова войти в закладку «System»;
  2. После чего – в «Cert Manager»;«Cert Manager»
  3. Прописать: наименование, размер ключа, алгоритм и время жизни;
  4. Далее интегрировать шлюз с Active Directory, для этого в закладке «System» открыть раздел «User Manager» и в «Servers» прописать диапазон поиска, адрес, учетки и т. д. После чего на этом этапе действий уже допускается разрешить юзерам пользоваться всемирной паутиной;

Примечание: чтобы экспортировать параметры «OpenVPN» в машины и девайсы с различными ОС, следует воспользоваться пакетом «OpenVPN Client Export Utility».

  1. Далее снова перейти в раздел «Cert Manager»;
  2. Здесь для всех клиентов и для сервера «VPN» создать сертификат;«Cert Manager»
  3. Установить режим «Remote Access (SSL/TLS + User Auth)»;«Remote Access (SSL/TLS + User Auth)»
  4. Указать порт, сертификат, сервер аутентификации и требуемые настройки для шифрования Можете, конечно, здесь оставить все как есть, но рекомендуется самостоятельно выставить оптимальные настройки;
  5. После этого можно указать, следует ли выдавать клиенту DNS, и т. п.;
  6. Кликнуть «Save»;
  7. Войти в закладку «client export» и отправить настройки.

«client export»

Заключение

Если проявить терпение и усидчивость, то интерфейс покажется удобным и не вызовет особых сложностей при настройке.

Но если нет достаточного опыта работы с параметрами сетей, то рекомендуется использовать встроенный в платформу специальный помощник «Wizard» (мастер быстрой настройки).

Он послужит отличным подспорьем для начинающих администраторов систем, следует просто внимательно исполнять его требования и рекомендации.

Видео по теме

 

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *